AWS Cloud Adoption Framework (CAF)는 조직이 AWS 클라우드를 효과적으로 도입하고 최적화하는 데 도움을 주는 AWS의 방법론이다. 이 프레임워크는 조직이 클라우드 도입을 계획하고, 전환하며, 운영하는 과정을 체계적으로 관리할 수 있도록 설계되었다.
관점 6개
비즈니스: 비즈니스 관점은 클라우드 투자가 디지털 트랜스포메이션 목표와 비즈니스 성과를 가속화하도록 보장한다. 공통 이해 관계자로는 최고 경영자(CEO), 최고 재무 책임자(CFO), 최고 운영 책임자(COO), 최고 정보 책임자(CIO), 최고 기술 책임자(CTO)가 포함된다.
인재: 인재 관점은 기술과 비즈니스 사이의 다리 역할을 하며, 조직이 문화, 조직 구조, 리더십 및 인력에 초점을 맞춰, 비즈니스에서 변화가 일상화된 부분, 학습, 그리고 지속적인 성장 문화로 보다 빠르게 발전해나갈 수 있도록 클라우드 여정을 가속화한다. 공통 이해 관계자로는 CIO, COO, CTO, 클라우드 디렉터, 여러 직능을 넘나드는 기업 전체 리더가 포함된다.
거버넌스: 거버넌스 관점은 조직의 이점을 극대화하고 트랜스포메이션과 관련된 위험을 최소화하면서 클라우드 이니셔티브를 조율하는 데 도움을 준다. 공통 이해 관계자로는 최고 트랜스포메이션 책임자, CIO, CTO, CFO, 최고 데이터 책임자(CDO) 및 최고 위험 책임자(CRO)가 포함된다.
플랫폼: 플랫폼 관점은 기업 수준의 확장 가능한 하이브리드 클라우드 플랫폼을 구축하고, 기존 워크로드를 현대화하며, 새로운 클라우드 네이티브 솔루션을 구현하는 데 도움을 줍니다. 공통 이해 관계자로는 CTO, 기술 리더, 아키텍트 및 엔지니어가 포함된다.
보안: 보안 관점은 데이터 및 클라우드 워크로드의 기밀성, 무결성 및 가용성을 달성하는 데 도움을 준다. 공통 이해 관계자로는, 최고 정보 보호 책임자(CISO), 최고 규정 준수 책임자(CCO), 내부 감사 리더 및 보안 아키텍트와 엔지니어가 포함된다.
운영: 운영 관점은 비즈니스 요구 사항을 충족하는 수준에서 클라우드 서비스를 제공하도록 보장한다. 공통 이해 관계자에는 인프라 및 운영 리더, 사이트 신뢰성 엔지니어 및 정보 기술 서비스 관리자가 포함된다.
Question # 7
한 회사에서 Amazon EC2 인스턴스에서 자체 Docker 환경을 실행 및 관리하고 있습니다. 이 회사는 클러스터 크기, 스케줄링 및 환경 유지 관리를 관리하는 데 도움이 되는 대안을 원합니다. 이러한 요구 사항을 충족하는 AWS 서비스는 무엇인가요?
A. AWS Lambda: 서버리스 컴퓨팅 서비스로, 주로 코드를 이벤트에 따라 실행하는 데 사용된다. Lambda는 컨테이너 관리와는 다른 목적으로 설계되었다.
B. Amazon RDS: 관계형 데이터베이스 서비스로, 데이터베이스 관리를 간소화하는 데 초점을 맞춘다. 이는 컨테이너 환경의 관리와는 관련이 없다.
C. AWS Fargate:AWS Fargate는 서버리스 컴퓨팅 엔진으로, Amazon ECS (Elastic Container Service) 및 EKS (Elastic Kubernetes Service)와 함께 사용된다. Fargate를 사용하면 사용자는 서버 및 클러스터 인프라를 직접 관리할 필요 없이 컨테이너를 실행할 수 있다. Fargate는 인프라 관리를 자동화하고, 컨테이너를 위한 최적의 컴퓨팅 리소스를 자동으로 할당한다. 이 회사는 클러스터 관리와 유지 보수의 복잡성을 줄이고 싶어한다. AWS Fargate는 이러한 요구를 충족시키며, 컨테이너화된 애플리케이션의 운영을 간소화한다.
D. Amazon Athena: 대화형 쿼리 서비스로, 데이터 분석에 주로 사용된다. 대화형 쿼리 서비스입니다. Athena는 서버리스이므로 인프라 설정이나 관리가 불필요하며, 실행하는 쿼리 또는 쿼리에 필요한 컴퓨팅을 기준으로 요금을 지불할 수 있다. Athena는 자동으로 확장되어 쿼리를 병렬로 실행하므로 데이터 세트가 크고 쿼리가 복잡해도 결과를 빠르게 얻을 수 있다.
AWS 컨테이너 서비스
하위 범주 사용 사례 AWS 서비스
컨테이너 오케스트레이션
컨테이너식 애플리케이션 실행 또는 마이크로서비스 구축
Amazon Elastic Container Service(ECS)
Kubernetes로 컨테이너 관리
Amazon Elastic Kubernetes Service(EKS)
컴퓨팅 옵션
서버를 관리하지 않고 컨테이너를 실행
AWS Fargate
서버 수준 제어를 통해 컨테이너 실행
Amazon Elastic Compute Cloud(EC2)
최대 90% 할인된 요금으로 내결함성을 갖춘 워크로드 실행
Amazon EC2 스팟 인스턴스
컨테이너를 지원하는 도구 및 서비스
컨테이너식 애플리케이션을 빠르게 시작하고 관리
AWS Copilot
컨테이너 소프트웨어를 공개 또는 비공개로 공유 및 배치
Amazon Elastic Container Registry(ECR)
모든 서비스를 위한 애플리케이션 수준의 네트워킹
AWS App Mesh
클라우드 리소스 검색 서비스
AWS Cloud Map
Lambda 함수를 컨테이너 이미지로 패키징 및 배포
AWS Lambda
완전관리형 서비스에서 컨테이너식 애플리케이션 구축 및 실행
AWS App Runner
고정된 월 요금으로 단순한 컨테이너식 애플리케이션 실행
Amazon Lightsail
기존 애플리케이션 컨테이너화 및 마이그레이션
AWS App2Container
온프레미스
고객 관리형 인프라에서 컨테이너 실행
Amazon ECS Anywhere
자체 인프라에서 Kubernetes 클러스터를 생성하고 운영
Amazon EKS Anywhere
엔터프라이즈급 컨테이너 관리
컨테이너 및 서비리스 배포의 자동화된 관리
AWS Proton
완전관리형 턴키 앱 플랫폼
Red Hat OpenShift Service on AWS(ROSA)
오픈 소스
Amazon EKS를 구동하는 Kubernetes 배포 실행
Amazon EKS Distro
기존 애플리케이션 컨테이너화 및 마이그레이션
AWS App2Container
Question # 8
한 회사에서 Amazon EC2 인스턴스에서 NoSQL 데이터베이스를 실행하려고 합니다. 이 시나리오에서 AWS가 담당하는 작업은 무엇인가요?
A. EC2 인스턴스의 게스트 운영 체제 업데이트: 이는 고객의 책임이다. AWS는 인프라를 제공하지만, EC2 인스턴스 내에서 실행되는 운영 체제와 소프트웨어의 관리는 사용자가 담당한다.
B. 데이터베이스 계층에서 고가용성을 유지합니다: 이 역시 사용자 책임이다. NoSQL 데이터베이스를 실행하는 경우, 데이터베이스의 고가용성 구성은 사용자가 관리해야 한다.
C. EC2 인스턴스를 호스팅하는 물리적 인프라 패치: AWS는 클라우드 인프라스트럭처의 물리적 부분을 관리하며, 이에는 서버, 스토리지 시스템, 네트워크 장비 등의 유지보수와 보안 패치가 포함된다.
D. 보안 그룹 방화벽을 구성합니다: 보안 그룹 설정은 사용자가 직접 관리한다. AWS는 보안 그룹 기능을 제공하지만, 이를 어떻게 구성하고 적용할지는 사용자의 책임이다.
공동 책임 모델
AWS의 공동 책임 모델은 클라우드 보안과 관련하여 AWS와 그 고객 간의 책임 분담을 명확하게 정의한다. 이 모델의 핵심은 보안이 AWS와 고객 간에 공유되는 책임이라는 것이다. 이는 클라우드 환경에서 보안 관리의 효과적인 운영을 위해 필수적이다.
AWS의 책임: '클라우드의 보안'
AWS는 클라우드 인프라스트럭처의 보안을 관리하는 책임이 있다.
하드웨어, 소프트웨어, 네트워킹: AWS 클라우드 서비스를 실행하는 데 필요한 물리적 하드웨어, 네트워크 장비, 그리고 기반 소프트웨어의 보안을 관리한다.
데이터 센터 보안: AWS는 자체 데이터 센터의 물리적 보안에 대한 전적인 책임을 진다. 이는 건물 보안, 환경 제어, 전력 공급 등을 포함한다.
인프라 관련 패치 및 업데이트: AWS는 클라우드 인프라와 관련된 소프트웨어 및 시스템의 패치 관리를 담당한다.
고객의 책임: '클라우드에서의 보안'
고객은 클라우드 환경에서 운영되는 시스템 및 데이터의 보안을 관리한다.
게스트 운영 체제 관리: 고객은 자신의 Amazon EC2 인스턴스 등에서 실행되는 게스트 운영 체제에 대한 업데이트, 보안 패치의 적용 및 관리를 담당한다.
애플리케이션 보안: 고객은 자신이 설치한 애플리케이션, 데이터베이스 등의 보안을 관리한다. 이는 애플리케이션 레벨의 보안 패치, 설정 등을 포함한다.
네트워크 및 방화벽 설정: AWS에서 제공하는 보안 그룹(방화벽)의 설정과 관리는 고객의 책임이다. 이것은 네트워크 트래픽 제어 및 액세스 권한 설정을 포함한다.
데이터 보안: 데이터 암호화, 분류, 접근 권한 관리 등 데이터 보안 전략은 고객이 직접 관리해야 한다.
공유되는 책임
일부 보안 책임은 AWS와 고객이 공유한다.
패치 관리: AWS는 인프라에 대한 패치를 책임지고, 고객은 자신의 게스트 OS 및 애플리케이션에 대한 패치를 담당한다.
구성 관리: AWS는 인프라 장비의 구성을 관리하고, 고객은 자신의 운영 체제 및 애플리케이션 구성을 담당한다.
인식 및 교육: AWS 직원의 교육은 AWS가, 고객의 직원 교육은 고객이 담당한다.
이 모델의 핵심은 AWS 클라우드 환경에서 보안이 단일 책임이 아니라, 공급자와 고객 간의 지속적인 협력과 분담이 필요하다는 것이다. 이는 클라우드 서비스를 사용하는 고객에게 유연성과 제어를 제공하면서도, 클라우드 서비스 제공자인 AWS가 인프라 보안을 책임지는 구조를 만든다.
Question # 9
Amazon EC2 인스턴스에 대한 최적화 할 수 있게 알려주는 AWS 서비스 또는 도구는 무엇인가요? (두 가지를 선택하세요.)
AWS Cost Explorer: AWS Cost Explorer는 AWS 비용과 사용량 데이터를 분석하는 도구다. 이 서비스를 통해 사용자는 자신의 AWS 사용 패턴을 이해하고, 비용을 최적화할 수 있는 영역을 식별할 수 있다. 예를 들어, EC2 인스턴스의 사용량과 비용을 분석하여 과도한 지출이 있는지, 인스턴스 사이즈를 조정할 필요가 있는지 확인할 수 있다.
AWS Billing Conductor: 이 서비스는 사용자 정의 청구 및 비용 할당을 위한 도구다. 비록 AWS 비용 관리와 관련있지만, EC2 인스턴스의 최적화와는 직접적인 관련이 없다.
Amazon CodeGuru: 이 서비스는 코드 리뷰와 애플리케이션 성능 프로파일링을 위한 도구다. 주로 개발자가 코드의 효율성과 품질을 향상시키는 데 사용되지만, EC2 인스턴스 자체의 최적화와는 관련이 없다.
Amazon SageMaker: SageMaker는 기계 학습 모델을 구축, 훈련 및 배포하기 위한 서비스다. 기계 학습 작업과 관련이 있으며, EC2 인스턴스 최적화와는 별개의 목적을 가지고 있다.
AWS Compute Optimizer: AWS Compute Optimizer는 AWS 리소스의 구성을 분석하고 최적화 권장 사항을 제공하는 서비스다. 이 서비스는 기계 학습을 사용하여 EC2 인스턴스의 성능 데이터를 분석하고, 최적의 리소스 타입과 구성을 제안한다.
Question # 10
다음 중 AWS Trusted Advisor(AWS 트러스티드 어드바이저)를 사용하면 어떤 이점이 있습니까? (두 가지 선택)
AWS Trusted Advisor는 AWS 고객들에게 최적의 클라우드 환경을 유지하도록 조언하는 서비스다. 주로 클라우드 리소스의 최적화, 비용 관리 및 보안 강화에 중점을 두어 AWS 고객에게 실질적인 조언과 권장 사항을 제공한다.
A. 고성능 컨테이너 오케스트레이션 제공: 이 기능은 AWS Trusted Advisor의 기능 범위를 벗어난다. 컨테이너 오케스트레이션은 주로 Amazon ECS나 Kubernetes 같은 서비스를 통해 제공된다.
B. 암호화 키 생성 및 회전: 암호화 키 관리는 AWS Key Management Service(KMS)와 같은 서비스를 통해 수행된다. Trusted Advisor는 이러한 기능을 제공하지 않는다.
C. 활용도가 낮은 리소스를 감지하여 비용 절감: AWS Trusted Advisor는 클라우드 리소스의 활용도를 분석하여, 활용도가 낮은 리소스를 감지한다. 이를 통해 사용자는 불필요하게 과다 지출되는 비용을 줄일 수 있도록 리소스를 조정할 수 있다. 예를 들어, 활용도가 낮은 EC2 인스턴스나 불필요한 EBS 볼륨 등을 식별할 수 있다.
D. AWS 환경을 선제적으로 모니터링하여 보안 향상: Trusted Advisor는 AWS 환경의 보안 설정을 지속적으로 검토한다. 이를 통해 잠재적인 보안 취약점을 식별하고, 이에 대한 권장 사항을 제공하여 사용자가 보안을 강화할 수 있도록 돕는다. 예를 들어, 공개된 S3 버킷이나 부적절하게 구성된 보안 그룹 등을 확인할 수 있다.
E. AWS 리소스 전반에 걸쳐 강제 태깅 구현: AWS Trusted Advisor는 리소스 태깅 규칙을 강제로 구현하는 역할을 하지 않는다. 이는 주로 AWS 리소스 태깅 정책이나 관리 도구를 통해 관리된다.
